风险治理视角下的个人信息保护路径

数字时代应有效回应信息科技引发的新型信息风险。日益广泛的个人信息处理行为不仅可能会给个人带来多种风险,影响个人人格的全面自由发展,而且可能会对社会与国家造成重大安全隐患。有效保护个人信息,既需要公私主体消极不侵犯个人信息,又需要国家通过不断完善体制机制积极治理信息风险。在风险治理组织上,宜吸收大部制机构改革的历史经验,设立统一的个人信息保护专门机构实施“一站式监管”。在风险预防措施上,应对个人信息进行科学的分类分级以进行不同安全等级的信息风险预防,并以安全与效率的平衡为理念设计个人信息保护影响评估、个人信息出境安全评估等制度。由于个人信息保护执法裁量空间巨大,有必要努力制定个人信息保护处罚裁量基准,并探索执法和解机制以促进企业合规。为了更全面有效地进行信息风险治理,应逐步放宽个人信息保护民事公益诉讼,强化个人信息保护行政公益诉讼。     

论个人信息权的构建及其体系化

通过赋予信息主体以个人信息权,可以消除信息利用的"丛林法则"和"公地悲剧",从积极和消极两个方面增强信息主体对个人信息的管治,在为信息主体提供更加周延的法律保障的同时,促进信息的利用和融合,实现信息之为信息的本质.我国民法典确立了个人信息权的基本框架,我国个人信息保护法进一步细化了个人信息权的主体、客体、效力、行使条件、救济手段,从而形成了以个人信息的知情同意权、获取权、异议更正权、拒绝权、删除权等为权能的个人信息权利体系,成为我国个人信息保护制度的基础和核心.     

个人信息保护立法理念探究——在信息保护与信息流通之间

个人信息保护法应当是对个人信息进行合理利用与恰当保护相结合的法律.欧洲政府和美国政府采取了不同的路径来保护个人信息.欧洲更为重视从权利角度出发保护个人信息,美国则更注重从信息流通的角度出发促进个人信息的自由流通.个人信息保护的"权利保护论"与"自由流通论",以及因为对上述理论的解释与侧重不同而产生的欧洲的国家立法主导与美国的企业自律的个人信息保护模式,均有其合理与可取的方面.我国的个人信息保护法在立法理念上应当兼顾个人信息的"权利保护"与个人信息的"自由流通",以达到二者之间的和谐与平衡.     

个人信息匿名化处理法律标准探究

个人信息匿名化处理法律制度作为联通个人信息保护与个人信息流通利用的制度桥梁,能够以一种隐私友好的方式满足社会的信息需求.我国现行"无法识别特定个人且不能复原"的匿名化处理法律标准缺乏可操作性,难以有效规范匿名化处理实践.我国可以确立操作方法标准与识别风险检验标准协同的匿名化处理法律标准:关于操作方法标准,可以在技术领域确定适用于直接标识符和间接标识符的匿名化处理措施指南;关于识别风险检验标准,可以引入"蓄意侵入者检验"标准,明确规定侵入者的识别动机和识别能力.通过操作方法维度与识别风险检验维度的协同作用,最终实现"无法识别特定个人且不能复原"的匿名化处理法律效果.     

中国个人信息保护法草案若干问题

在个人信息保护法草案中,个人信息的定义应修改为"个人信息是能够单独或者与其他信息结合识别有生命的自然人的各种信息,不包括匿名化处理后的信息."并加一款体现"识别"+"关联"的立法思路的文字.个人信息处理的列名操作应该由七个变更为十一个,即收集、存储、加工、使用、交易、提供、公开、查阅、复制、更正、删除等.第六十九条匿名化定义的"无法识别"且"不能复原"与第二十四条第二款规定的"重新识别"之间存在矛盾,需要修改.     

个人信息商业利用同意要件研究——以个人信息类型化为视角

《民法总则》第111条顺应信息时代的需求,规定个人信息在信息利用中受到法律保护,但规定得较为概括。信息主体同意是信息商业利用行为的合法要件之一,但绝对的同意要件会阻碍信息的充分利用。为实现人格尊严保护与信息利用平衡的法律理念,并结合个人信息的性质,应当将个人信息分为人格紧密型个人信息和人格疏远型个人信息。人格紧密型个人信息与人格尊严密切相关,同意要件应为积极同意;而人格疏远型个人信息与人格尊严相对较疏远,同意要件应为消极同意。基于个人信息类型化研究,建议司法裁判者区分适用个人信息商业利用的同意要件,以实现个人信息保护与信息利用的平衡。     

个人信息权作为民事权利之证成:以知识产权为参照

个人信息有别于数据,也不同于隐私。它以个人敏感隐私信息为内核,往外扩散,其边界处于相对确定的状态。以知识产权为参照,相对确定的边界并不影响个人信息的权利化保护。以尊重人格尊严和自由为理念,以个人信息的自我决定或自我控制为理论基础,个人信息权宜定性为人格权。无形的人格特征具有财产利益,在原理上亦接近于以知识产权为代表的无形财产权。个人信息与知识产权的客体类似,均是特定的信息,其权利不能架构在占有的基础上,不是对客体的圆满状态的控制。可借鉴知识产权的"行为规制权利化"的构建路径,以同意、访问、查阅、抄录、复制、更正、删除等具体行为为支点,形成包含个人信息利用的知情权、个人信息利用的决定权以及保护个人信息完整准确权这三方面内容的个人信息权。个人信息权可以满足绝对权的特征,融入民事权利体系中的绝对权大家庭。     

网络时代个人信息保护的公益诉讼模式构建

网络时代,个人信息的"裸奔"不仅侵犯个人私权,也对社会安全治理构成了威胁。实践中,个人信息保护实体法律规范的碎片化以及保护模式的体系性欠缺致使其保护机制存在掣肘。针对个人信息网络侵权频发的现状,应基于诉讼主体与权利主体互相分离的逻辑起点,围绕起诉主体范围、证明责任分配以及责任承担方式等多维面向构建个人信息保护的公益诉讼模式,以提高社会治理法治化水平。     

个人信息国家保护义务及展开

个人信息保护法体系建构的基础是国家在宪法上所负有的保护义务,该义务对应着"个人信息受保护权",而不是"个人信息权"。将个人信息作为私权客体的权利保护模式,在规范逻辑、制度功能等方面存在局限;应以"个人信息受保护权—国家保护义务"框架建构个人信息的权力保护模式。在数字时代,个人信息国家保护义务意味着国家不仅应履行尊重私人生活、避免干预个人安宁的消极义务,还应通过积极保护,支援个人对抗个人信息处理中尊严减损的风险。基于控制"数据权力"这一侵害风险源的需要,国家一方面应避免过度侵入个人信息领域;另一方面应通过制度性保障、组织与程序保障以及侵害防止义务的体系化,营造个人信息保护的制度生态。     

“FinTech”赋能:科技金融法律规制的范式转移

近年来,"FinTech"技术赋能于传统金融体系,科技金融迅速发展。以"区块链"为代表的"FinTech"技术赋能于以贸易金融为首的科技金融行业,形成了"去中心化"金融体系的结构转变。以"信息信用"替代"核心信用",改变了科技金融的制度内核。"数据信息"与人工智能结合给金融体系增添了科技的活力,但同时也泛化了行业风险,影响了科技金融的健康发展。科技金融法律规制应当以市场化的法制理念明确科技金融的核心制度利益;以信息化的思维模式建立科技金融领域下"数字信息"的透明与共享机制;以专业化的法制思路实现法律规范与行业规则的协调与互补,形成法制的范式转移。     

数字治理的法治进路

数字治理是国家治理现代化的重要组成部分。数字技术之所以能够赋能治理，是因为数字技术可以使国家精准识别特定个体并提升宏观治理水平，赋能立法和科学决策、自动化行政、社会信用体系建设、公众守法和法律监督等。但数字治理也存在诸多难题。系统化构建数字治理的基础制度、平衡数字治理中的多维度法律价值、强化对数字公权力的制度控制以建构技术发展的社会信任基础、在国际竞争中提升数字治理的国际化水平、预防和矫治数字治理的异化，是数字治理应当遵循的基本法治进路。     

《民法典》视域下的个人信息保护

个人信息的重要性随着互联网、大数据、云计算和人工智能的快速发展越来越凸显。《民法典》对个人信息权益的法律属性界定以及相应保护规定,将自然人的个人信息保护提到了一个新高度,为进一步完善个人信息保护法律体系提供了重要的立法依据。但是,个人信息随技术变化还有许多方面不甚明确,适应这种变化的法律要求会不断提高。在《民法典》的视域下,不仅可以看到要保护哪些个人信息、保护的法律属性和实施保护的基本取向,还可以发现构建以《民法典》为基础的个人信息保护法律体系将是我国法治建设的一项重要任务,特别要加快《个人信息保护法》的制定进程。     

个人信息权的体系化解释——兼论《个人信息保护法》的公法属性

《个人信息保护法》是数字时代个人信息保护的基本法。它采取了将个人信息权作为新兴公法权利的思路,确立了完整的个人信息权利保护体系,在个人信息保护问题上和《民法典》一起形成了公私法共同协力的进路。《个人信息保护法》以权利束的方式规定了个人信息主体的知情权、决定权、查阅权、复制权、更正权、删除权、可携带权和信息权利救济权等。《个人信息保护法》从立法依据、权利体系、条文设计和规制措施上都体现出鲜明的公法属性,这也可以从基本权利的双重面向和个人信息国家保护义务得到理论上的证成。这部法律是数字时代公法秩序的基石,它对公法边界的形塑仍需通过其实施来确立。     

个人信息法律保护现状及研究综述

个人信息法律保护是近半个世纪以来随着信息社会的发展而日益凸显的热点问题,世界上已有五十多个国家和地区对此制定了专门法律。由于种种原因,我国长期以来对保护个人信息的重要性认识不足,立法实践极为滞后,学界对此领域的研究也起步较晚,宏观上缺乏体系之间的呼应。而目前社会上个人信息被非法滥用的问题相当严重,因此十分有必要完善我国法律,形成全面保护个人信息自由与安全的系统性法律框架。     

侵犯公民个人信息犯罪的刑法适用及司法机制研究

随着社会经济的发展,人们之间的信息交流不在依赖于传统的方式,“距离不是问题,地城没有关系”的新型快、狠、准成为信息交流的新渠道,正所谓信息灵通,生意兴隆.但是,新型技术并非人们想象的那样美好,一旦涉及个人信息泄露,所带了的负面效应将更为严重.由于现有的保护个人信息刑法体系不完善,机制的不健全,如主体较窄、个人信息定义问题及情节严重的认定等都亟待明确和完善.本文综合分析该类案件存在的司法实践问题,并提出了相应的对策建议,以正个人信息的个人性及法律的权威性.同时希望能对对法院今后在审理此类案件有所裨益,为相关部门加强社会管理、维护社会稳定提供支持.     

敏感个人信息保护的基本问题——以《民法典》和《个人信息保护法》的解释为背景

《个人信息保护法》采取了"概括+列举"的方式,首次对敏感个人信息的概念作出了规定,并明确规定了"敏感性"的核心特征,将未成年人的个人信息纳入敏感个人信息的范畴,从而区分了敏感个人信息与一般个人信息.敏感个人信息与私密信息隐私存在交叉重合关系,但两者存在一定的区别,在保护方式上应当区别对待.对敏感个人信息的判断主要应依据...     

浅析我国个人信息保护立法的权利基础——以美国隐私权与德国一般人格权为例

随着信息化时代的发展,我国个人信息保护立法已势在必行。在全球个人信息保护立法中,美国信息隐私权与德国个人信息立法有着典型意义。美国信息隐私法以隐私权作为个人信息保护的权利基础,而德国以一般人格权为其权利基础。本文认为,在我国现有的法律体制和观念前提下,隐私权和一般人格权均不能满足我国内在要求,我国立法应以具体人格权为基础构建个人信息权利体系。     

个人信息国家保护义务理论的反思与重塑

当前的个人信息国家保护义务理论，主张将个人信息纳入基本权利保护范围，并以个人信息国家保护义务为基础建立个人信息保护法律体系。然而，在概念表达上，该理论以“客观法”表征个人信息基本权的属性，错置了客观法与主观权利之间的关系；用“间接效力”指称个人信息基本权对作为私主体的信息处理者的效力，混淆了“效力”和“效果”的语义。在宪法解释方法论层面，该理论在宏观上具有的法哲学化解释倾向、在微观上对概括性人权条款的悬置处理，使其在宪法教义学上欠缺说服力。面对立法实践，该理论无力解释作为私主体的信息处理者何以承担公法义务。确立个人信息保护权利基础的二元结构，明确个人信息基本权积极面向的主观权利属性，适度延伸个人信息基本权的效力范围，并对国家保护义务内容作相应调整，是重塑个人信息国家保护义务理论的有效途径。     

敏感个人信息的法律基准与范畴界定——以《个人信息保护法》第28条第1款为中心

《个人信息保护法》第28条第1款中敏感个人信息的"敏感"是指法律规制的高反应度,其以信息处理的权益侵害风险为法律基准,风险内容指向除个人信息权益之外的人格尊严和人身、财产权利,风险程度则以达到"一般权益侵害程度+更高风险兑现概率"为必要.敏感个人信息的界定应采取场景抽离和场景融入双重路径.场景抽离关注作为内因的信息内容,内容具有强工具性和唯一识别性的个人信息为敏感个人信息;场景融入关注作为外因的场景要素,信息处理者的认知能力、信息应用能力及信息存在状态是改变信息内容属性的主要场景要素,可以促成敏感个人信息的转化.因未成年人信息控制能力弱、信息暴露程度高,立法将其个人信息归入敏感个人信息具有合理性.第28条第1款列举的各项信息具有涵括性,不能直接作为敏感个人信息的认定依据,是否属于敏感个人信息仍须进行具体判定.     

大数据时代“知情—同意”机制的实践困境与制度优化

知情同意机制是个人信息保护制度的基石，其理论基础在于个人信息自决权。在大数据时代，模糊的个人信息内涵导致知情同意机制流于形式，僵化严苛的知情同意原则难以适应维护公共利益和发展数字经济的需要。因此，个人信息保护应从“自我控制”模式转向“社会控制”模式，根据具体应用场景和风险评估构建个人信息综合治理体系，与此相对应，知情同意机制应从前端、静态转向动态、灵活。革新传统个人信息知情同意机制并非舍弃知情同意原则，而是在坚持知情同意机制价值操守的前提下优化知情同意规则体系。具体而言，应当进一步完善匿名化规则，健全“同意规则”,细化知情同意豁免规则，实现信息安全与信息自由、个人利益与公共利益的平衡。